GDPR dicipta untuk memberi warga EU lebih kawalan ke atas data peribadi mereka. Dan dari segi bilangan aduan, matlamat itu "dicapai": sepanjang tahun lalu, orang Eropah mula melaporkan pelanggaran oleh syarikat lebih kerap, dan syarikat itu sendiri menerima dan mula menutup kelemahan dengan cepat agar tidak menerima denda. Tetapi "tiba-tiba" ternyata GDPR paling ketara dan berkesan apabila sama ada mengelak sekatan kewangan atau keperluan untuk mematuhinya. Dan lebih-lebih lagi - direka untuk menamatkan kebocoran data peribadi, peraturan yang dikemas kini menjadi punca mereka.
Mari beritahu anda apa yang berlaku di sini.
Π€ΠΎΡΠΎ - - Nyah percikan
Apa masalahnya
Di bawah GDPR, warga EU mempunyai hak untuk meminta salinan data peribadi mereka yang disimpan pada pelayan syarikat. Baru-baru ini diketahui bahawa mekanisme ini boleh digunakan untuk mengumpul PD orang lain. Salah seorang peserta di persidangan Black Hat , di mana dia menerima arkib dengan data peribadi tunangnya daripada pelbagai syarikat. Dia menghantar permintaan yang berkaitan bagi pihaknya kepada 150 organisasi. Menariknya, 24% syarikat hanya memerlukan alamat e-mel dan nombor telefon sebagai bukti identiti - selepas menerimanya, mereka memulangkan arkib dengan fail. Kira-kira 16% daripada organisasi juga meminta gambar pasport (atau dokumen lain).
Akibatnya, James dapat memperoleh Keselamatan Sosial dan nombor kad kredit, tarikh lahir, nama gadis dan alamat kediaman "mangsa"nya. Satu perkhidmatan yang membolehkan anda menyemak sama ada alamat e-mel telah dibocorkan (contoh perkhidmatan ialah ), malah menghantar senarai data pengesahan yang digunakan sebelum ini. Maklumat ini boleh menyebabkan penggodaman jika pengguna tidak pernah menukar kata laluan atau menggunakannya di tempat lain.
Terdapat contoh lain di mana data berakhir di tangan yang salah selepas "tersalah" dihantar. Jadi, tiga bulan lalu salah seorang pengguna Reddit maklumat peribadi tentang diri anda daripada Epic Games. Bagaimanapun, dia tersilap menghantar PDnya kepada pemain lain. Kisah serupa berlaku tahun lepas. Pelanggan Amazon Arkib 100 megabait dengan permintaan Internet kepada Alexa dan beribu-ribu fail WAF pengguna lain.
Π€ΠΎΡΠΎ - - Nyah percikan
Pakar mengatakan salah satu sebab utama berlakunya situasi sedemikian adalah ketidaklengkapan Peraturan Perlindungan Data Am. Khususnya, GDPR menentukan tempoh masa syarikat mesti membalas permintaan pengguna (dalam masa sebulan) dan menentukan dendaβsehingga 20 juta euro atau 4% daripada hasil tahunanβkerana kegagalan mematuhi keperluan ini. Walau bagaimanapun, prosedur sebenar yang sepatutnya membantu syarikat mematuhi undang-undang (contohnya, memastikan data dihantar kepada pemiliknya) tidak dinyatakan di dalamnya. Oleh itu, organisasi perlu secara bebas (kadang-kadang melalui percubaan dan kesilapan) membina proses kerja mereka.
Bagaimanakah saya boleh memperbaiki keadaan?
Salah satu cadangan yang paling radikal adalah untuk meninggalkan GDPR atau membuat semula secara radikal. Terdapat pendapat bahawa dalam bentuk semasa undang-undang tidak berfungsi, kerana ia sangat dan terlalu ketat, dan anda perlu membelanjakan banyak wang untuk memenuhi semua keperluannya.
Sebagai contoh, tahun lepas pembangun permainan Super Monday Night Combat terpaksa membatalkan projek mereka. Menurut penciptanya, belanjawan yang diperlukan untuk mereka bentuk semula sistem untuk GDPR , diperuntukkan kepada permainan berusia tujuh tahun.
"Perniagaan kecil dan sederhana selalunya tidak mempunyai sumber teknologi dan manusia untuk memahami keperluan pengawal selia dan membuat persediaan yang diperlukan," komen Sergey Belkin, ketua jabatan pembangunan penyedia IaaS . βDi sinilah vendor besar dan penyedia IaaS boleh datang untuk menyelamatkan, menyediakan infrastruktur IT yang selamat untuk disewa. Sebagai contoh, di 1cloud.ru kami meletakkan peralatan kami di pusat data, mengikut piawaian Tahap III dan membantu pelanggan mematuhi keperluan Undang-undang Persekutuan Rusia-152 "Mengenai Data Peribadi".
Π€ΠΎΡΠΎ - - Nyah percikan
Terdapat juga pandangan yang bertentangan, bahawa masalah di sini bukan pada undang-undang itu sendiri, tetapi pada keinginan syarikat untuk memenuhi keperluannya hanya secara formal. Salah seorang penduduk Berita Hacker : sebab kebocoran data peribadi terletak pada fakta bahawa organisasi mekanisme pengesahan yang paling mudah, yang ditentukan oleh akal sehat.
Satu cara atau yang lain, Kesatuan Eropah tidak akan meninggalkan GDPR dalam masa terdekat, jadi situasi yang telah dijelaskan semasa persidangan Black Hat seharusnya menjadi insentif bagi syarikat untuk memberi lebih perhatian kepada keselamatan data peribadi.
Perkara yang kami tulis di blog dan rangkaian sosial kami:
1infrastruktur awan di Moscow dalam Dataspace. Ini adalah pusat data Rusia pertama yang lulus pensijilan Tier lll daripada Institut Uptime.
Sumber: www.habr.com